Docker’ı hedef alan kötü aktörler gözlemlendi uzak API sunucuları Trend Micro’nun yeni bulgularına göre, SRBMiner kripto madencisini tehlikeye atılmış örneklere dağıtmak için.
“Bu saldırıda tehdit unsuru, gRPC protokol bitti h2c araştırmacılar Abdelrahman Esmail ve Sunil Bharti, “güvenlik çözümlerinden kaçmak ve kripto madenciliği operasyonlarını Docker ana bilgisayarında yürütmek için” diyorlar. söz konusu Bugün yayınlanan teknik raporda.
“Saldırgan ilk önce Docker API’sinin kullanılabilirliğini ve sürümünü kontrol etti, ardından Docker işlevlerini değiştirmek için gRPC/h2c yükseltmeleri ve gRPC yöntemleri istekleriyle ilerledi.”
Her şey, saldırganın, halka açık Docker API ana bilgisayarlarını ve h2c protokolüne (örn. HTTP/2 sans TLS) bağlantı yükseltme isteğini takip etmek için HTTP/2 protokol yükseltmelerinin kullanılabilirliğini kontrol etmek üzere bir keşif süreci yürütmesiyle başlar. şifreleme).
Saldırgan ayrıca, durum kontrolleri, dosya senkronizasyonu, kimlik doğrulama, sır yönetimi ve SSH iletimi ile ilgili olanlar da dahil olmak üzere Docker ortamlarının yönetimi ve çalıştırılmasıyla ilgili çeşitli görevleri yerine getirmek üzere tasarlanmış gRPC yöntemlerini de kontrol etmeye devam ediyor.
Sunucu bağlantı yükseltme isteğini işlediğinde, “/moby.buildkit.v1.Control/Solve” gRPC isteği şu adrese gönderilir: bir kapsayıcı oluştur ve ardından SRBMiner yükünü kullanarak XRP kripto para birimini çıkarmak için kullanın GitHub’da barındırılıyor.
Araştırmacılar, “Bu vakada kötü niyetli aktör, h2c üzerinden gRPC protokolünü kullanarak, SRBMiner kripto madencisini Docker ana bilgisayarına dağıtmak ve yasadışı olarak XRP kripto para birimini çıkarmak için çeşitli güvenlik katmanlarını etkili bir şekilde atladı” dedi.
Açıklama, siber güvenlik şirketinin de söylediği gibi geldi gözlemlendi saldırganlar perfctl kötü amaçlı yazılımını dağıtmak için açıktaki Docker uzak API sunucularından yararlanıyor. Kampanya, bu tür sunucuların araştırılmasını, ardından “ubuntu:mantic-20240405” imajına sahip bir Docker kapsayıcısının oluşturulmasını ve Base64 kodlu bir veri yükünün yürütülmesini içeriyor.
Kabuk betiği, kendisinin yinelenen örneklerini kontrol edip sonlandırmanın yanı sıra, bir PHP dosyası (“avatar.php”) gibi görünen kötü amaçlı bir ikili dosyayı indirmekten sorumlu Base64 kodlu başka bir veri yükü içeren bir bash betiği oluşturur ve Bu ayın başlarında Aqua’dan gelen bir raporu hatırlatan httpd adlı veri yükü.
Kullanıcıların, yetkisiz erişimi önlemek için güçlü erişim kontrolleri ve kimlik doğrulama mekanizmaları uygulayarak Docker uzak API sunucularının güvenliğini sağlamaları, bunları olağandışı etkinliklere karşı izlemeleri ve konteyner güvenliği için en iyi uygulamaları uygulamaları önerilir.